Worm.W32/Agobot.BT@RPC

Alias:
WORM_AGOBOT.BT (Trend Micro)

Descripción:
Esta versión BT, de la familia Agobot/Gaobot se difunde explotando las siguientes vulnerabilidades de Windows NT/2000/XP.

• MS03-26 Intefaz RPC (Remote Procedure Call) de DCOM.

• MS03-001 LocalizadoR RPC

• MS03-007 Desbordamiento de búfer en IIS5/WEBDAV (Servidor Web)

También se propaga en máquinas con carpetas compartidas accesibles, en las que intenta autenticarse usando una lista de contraseñas.

Tiene capacidad de puerta trasera y puede recibir instrucciones a través de IRC.

Intenta detener varios procesos, algunos de programas de seguridad como antivirus y cortafuegos, con lo que deja el sistema expuesto a otros ataques.

Finalmente, roba claves de CD de juegos populares, con lo que pueden impedir al propietario legítimo de la copia del juego tomar parte en partidas multijugador en Internet, dado que en muchos juegos cada jugador que se conecta a Internet debe tener una clave única.

Detalles:
Instalación

Cuando se ejecuta, este gusano se copia en %System%\MISURP.EXE. %System% es la carpeta de sistema de Windows, normalmente C:\WINNT\System32 en Windows 2000 o C:\Windows\System32 en Windows XP.

A continuación crea las siguientes entradas en el registro para ser ejecutado automáticamente durante el inicio de Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
CurrentVersion\RunServices 
Configuration Loader=“%System%\misurp.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
CurrentVersion\Run 
Configuration Loader=“%system%\misurp.exe"

Propagación por la red y explotación de vulnerabilidades:

Intenta aprovechar las siguientes vulnerabilidades, también de direcciones IP aleatorias.

• DCOM RPC (Microsoft Security Bulletin MS03-026) A través del puerto TCP 135.
• RPC locator (Microsoft Security Bulletin MS03-001) A través del puerto TCP 445.
• WebDav (Microsoft Security Bulletin MS03-007) A través del puerto TCP 80.

Intenta copiarse en los siguientes recuros compartidos en máquinas de la misma red:

• admin$
• c$
• d$
• e$
• print$

Nombres de usuario:

• Admin
• student
• teacher
• database
• mysql
• OWNER
• computer
• admins
• owner
• wwwadmin
• Inviter
• Guest
• server
• Owner
• administrador
• Administrat
• Standard
• Convidado
• Default
• administrator
• admin
• kanri-sha
• kanri
• Ospite
• Verwalter
• Administrador
• Coordinatore
• Administrateur
• Administrator

• mypass
• poiuytrewq
• zxcvbnm
• admin123
• qwerty
• red123
• password123
• abc123
• qwertyuiop
• secrets
• homework
• werty
• mybox
• school
• metal
• pussy
• vagina
• mybaby
• asdfghjkl
• xxyyzz
• private
• test123
• changeme
• penis
• supersecret
• superman
• Login
• secret
• foobar
• patrick
• alpha
• 123abc
• 1234qwer
• 123123
• 121212
• 111111
• enable
• godblessyou
• ihavenopass
• 123asd
• super
• Internet
• 123qwe
• sybase
• oracle
• passwd
• 88888888
• 11111111
• 00000000
• 000000
• 54321
• 654321
• 123456789
• 12345678
• 1234567
• 123456
• 12345
• Password
• password
• Admin
• student
• teacher
• database
• mysql
• OWNER
• computer
• admins
• owner
• wwwadmin
• Inviter
• Guest
• server
• Owner
• administrador
• Administrat
• Standard
• Convidado
• Default
• administrator
• admin
• kanri-sha
• kanri
• Ospite
• Verwalter
• Administrador
• Coordinatore
• Administrateur
• Administrator

Robo de información

El gusano intenta robar las claves de CD de las siguientes aplicaciones:

• Illusion Softworks\Hidden & Dangerous 2
• Techland\Chrome
• Activision\Soldier of Fortune II - Double Helix
• BioWare\Neverwinter
• Westwood\Tiberian Sun
• Westwood\Red Alert 2
• IGI 2 Retail
• Command & Conquer Generals
• Electronic Arts\Generals
• Electronic Arts\Battlefield 1942 Secret Weapons of WWII
• Electronic Arts\Battlefield 1942 The Road to Rome
• Electronic Arts\Battlefield 1942
• Electronic Arts\Nascar Racing 2003
• Electronic Arts\Nascar Racing 2002
• Electronic Arts\NHL 2003
• Electronic Arts\NHL 2002
• Electronic Arts\FIFA 2003
• Electronic Arts\FIFA 2002
• Electronic Arts\EA GAMES\Need For Speed Hot Pursuit 2\ergc
• Eugen Systems\The Gladiators
• Unreal Technology\UT2003
• 3d0\Status
• Counter-Strike
• Valve\Counter-Strike\Settings
• Half-Life

Represalias contra antivirus:

También termina procesos con los siguientes nombres, la mayoría de programas antivirus o de seguridad.

• _AVP32.EXE
• _AVPCC.EXE
• _AVPM.EXE
• ACKWIN32.EXE
• ANTI-TROJAN.EXE
• APVXDWIN.EXE
• AUTODOWN.EXE
• AVCONSOL.EXE
• AVE32.EXE
• AVGCTRL.EXE
• AVKSERV.EXE
• AVNT.EXE
• AVP.EXE
• AVWUPD32.EXE
• AVWIN95.EXE
• AVSCHED32.EXE
• AVPUPD.EXE
• AVPTC32.EXE
• AVPM.EXE
• AVPDOS32.EXE
• AVPCC.EXE
• AVP32.EXE
• BLACKICE.EXE
• BLACKD.EXE
• CLEANER3.EXE
• CLEANER.EXE
• CLAW95CF.EXE
• CLAW95.EXE
• CFINET32.EXE
• CFINET.EXE
• CFIAUDIT.EXE
• CFIADMIN.EXE
• DVP95_0.EXE
• DVP95.EXE
• ESPWATCH.EXE
• ESAFE.EXE
• ECENGINE.EXE
• FRW.EXE
• FPROT.EXE
• FP-WIN.EXE
• FINDVIRU.EXE
• F-STOPW.EXE
• F-PROT95.EXE
• F-PROT.EXE
• F-AGNT95.EXE
• IOMON98.EXE
• IFACE.EXE
• ICSUPPNT.EXE
• ICSUPP95.EXE
• ICMON.EXE
• ICLOADNT.EXE
• ICLOAD95.EXE
• IBMAVSP.EXE
• IBMASN.EXE
• IAMSERV.EXE
• IAMAPP.EXE
• JEDI.EXE
• LUALL.EXE
• LOOKOUT.EXE
• LOCKDOWN2000.EXE
• MPFTRAY.EXE
• MOOLIVE.EXE
• NISUM.EXE
• NAVWNT.EXE
• NAVW32.EXE
• NAVNT.EXE
• NAVLU32.EXE
• NAVAPW32.EXE
• N32SCANW.EXE
• NMAIN.EXE
• NORMIST.EXE
• NUPGRADE.EXE
• NVC95.EXE
• OUTPOST.EXE
• PADMIN.EXE
• PAVCL.EXE
• PAVSCHED.EXE
• PAVW.EXE
• PCCWIN98.EXE
• PCFWALLICON.EXE
• PERSFW.EXE
• RAV7.EXE
• RAV7WIN.EXE
• RESCUE.EXE
• SAFEWEB.EXE
• SCAN32.EXE
• SCAN95.EXE
• SCANPM.EXE
• SCRSCAN.EXE
• SERV95.EXE
• SMC.EXE
• SPHINX.EXE
• SWEEP95.EXE
• TBSCAN.EXE
• TCA.EXE
• TDS2-98.EXE
• TDS2-NT.EXE
• VET95.EXE
• VETTRAY.EXE
• VSCAN40.EXE
• VSECOMR.EXE
• VSHWIN32.EXE
• VSSTAT.EXE
• WEBSCANX.EXE
• WFINDV32.EXE
• ZONEALARM.EXE

Capacidad de puerta trasera.

Este programa tiene capacidades de puerta trasera. Se conecta a un cierto canal IRC, y espera comandos de un usuario remoto. Estos permiten realizar las siguientes acciones:

• Obtener información del sistema, como:
  • Velocidad del procesador y la memoria.
  • Tamaño de la memoria
  • Plataforma Windows, número de construcción e ID de producto.
  • Tiempo en ejecución del gusano.
  • nombre de usuario
• Desactivar carpetas compartidas.
• Terminar la ejecución del gusano.
• Resolver la IP o el nombre de máquina mediante DNS.
• Obtener información de estado del gusano.
• Ejecutar ficheros .EXE.
• Vaciar la caché de DNS.
• Desactivar DCOM/compartir recursos
• Conectar/desconectar de un servidor IRC.
• Cambiar de servidor IRC
• Unirse o dejar canales
• Enviar mensajes privador mediante IRC
• Actualizar el gusano mediante HTTP o FTP.
• Descargar y ejecutar ficheros mediante HTTP o FTP.
• Apagar / Reiniciar el ordenador o cerrrar la sesión actual.
• Listar los procesos en ejecución
• Añadir y eliminar servicios.

Carga destructiva

Posee capacidades para lanzar ataques de inundación (Flood) sobre objetivos predeterminados:

• ICMP
• UDP
• SYN
• HTTP

Será capaz de lanzar ataques de denegación de servicio (DoS) contra los siguientes sitios:

• harr0.com
• www.harr0.com
• ryan1918.com
• www.ryan1918.com

Otros detalles:

Por último, intentará finalizar la ejecución de otros cópdigos maliciosos como los siguientes:

• winhlpp32.exe
• tftpd.exe
• dllhost.exe
• winppr32.exe
• mspatch.exe
• penis32.exe
• msblast.exe

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
   
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. 
   
   
3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

   Elimine las siguientes entradas del registro:

   Restaure la siguiente entrada del registro:
   
   

5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más información acerca de este virus en:

• Trend Micro

Fuente: red.es